在目前的电子
政务领域中.文件
的正确签发是建立
在信任平台的基础
上。信任平台的作
用是签发各种数字
证书,而如何实现
各种数字证书跨行
业的安全应用.是
PKI安全应用领域
的一个重要环节
(P u b1i c K e y
Infrastructure,这是
一 种遵循标准公钥
加密技术的技术和
规范。它为电子商
务的开展提供一套
安全的基础平台)。
这一重要.迫切的
需求.可通过 一
证通”来解决。
80 电瞎安全专簿
电子政务中数字证书
的跨行业应用“一证通"
■ 昊蔼明 上海格尔款件段份有限套司技术总监
一 技术背景
我们先来看看数字证书。数字证书是一
种权威性的电子文档,它提供了一种在
[tlterrtet上验证身份的方式。它是由权威机构
— — cA(cenmc.ate Authority)认证授权中心
发行的,人们可 在互联网交往中用它来识
别对方的身份。
数字证书是标示~个实体在网络上的真
实身份。为了达到这一目的,数字证书必须
具有惟一性和可靠性。而电子政务的具体应
用对效字证书的格式、内容要求多样。目前
的数字证书类型主要包括;个人数字证书、单
位数字证书、单位员工数字证书、服务器证
书、VPN证书 WAP证书和代码签名证书等。
数字证书的目的是为实际应用提供安全
支撑,因此在包含基本信息之外,还需要包含
应用专用信息,比如工商部门的工商登记号.
技监部门的企业登记号和税务部门的税号等。
应用对数字证书的格式和内容的需求多种多
样,更重要的是这些需求不论从理论上还是
在实践中,都是不可能完全预见的l也就是
说,这些数字证书无论从格式还是内容都是
随时变化的。这就不得不面临以下问题
政府职能部门的具体分工很明确.佛
如工商、税务和技监部门各自有自己的管
辖范围,也就有各自独立的数字证书。而它
们下面还有千千万万的行业用户.所以各
职能部门需要数字证书包含独立的专用信
息。数字证书是为应用服务的,但是包含专
用信息的数字证书不可避免地失去了它最
D在实斥应用中敷字证书失去T通甩性
重要的属性:通用性 (图1)。
二,“一证通”的需求和定义
1. 一证涵”的应甩■求
数字证书失去了通用性,将使验证工
作变得纷繁复杂,所 实现证书的通用性
就成了眼下迫切需要解决酌问题 数字证
书是如{可实现跨行业的安全应用 的.是
PKI安全应用领域的一个重要环节。在电
子政务的规划建设中,这是一个重要 ,迫
切的需求。下面,我们来看看两个解决方
案。
解决方襄 1:在签发数字证书时,在每
次应用需求变化时,需要把原有的数字证
书收上来,修改格式,并增加新的应用信
息,然后重新签发。
局限性a:这种方法在证书小批量应用
时尚有实现可能,一旦证书大批量应用
后,大量的证书修改和签发会耽误很多宝贵
的时间,而且有时根本就不可能实现。因
此这种方案几乎不具备可行性。
维普资讯
~
一
ov6rnm
—
ent affair -
一
bus
—
ine 墨 塑
局限性b 怎么实现证书的更新、废除和冻结以及
CRL的管理也是个棘手的问题⋯。。
解决方蠢2:为每个实际应用签发不同的数字证书。
局限性a:随着实际应用数量的增加,用户手上不断增加的
证书数量将带来的管理和使用的难度,M丽使证书的推广面临
着巨大困难
局限性b:为满足可能出现的大量实际应用 {L0种、1 00
种⋯⋯)对数字证书格式和内容的要求,CA中 的建设和运
行成本必然急副上升⋯⋯
2. 一证西 曩式的:皂义
上面两种解决方案都存在着很多局限性,只是在头痛时医
头.脚痛时医脚。本来,对症下药是无可厚非的,但电子政务
领域的电子证书显然不适用于这一法则。为了解决上面两种解
决方案的复杂度问题,同时解决跨行业应用的通用性、管理的
便捷性问题,就需要 “一证通 。
一 证通 是什么?它一种模式,不对应具体的系统 先
来看看信息安全,它涉及到信息的保密性(Confidential[ty),
完整性(Integrity)、可用性(AYailabilitY)和可控性
(Controllability)。练台来说,就是要保障电子信邑的有效比。
保密性就是对抗对手的攻击,保证信息不泄漏给未经授权的
人。完整性就是防止信息被未经授权的人篡改 可用性就是保证
信息及信息系统确实为授权使用者所用 可控性就是对信邑及
信息系统实施安全胨控。“一证通 模式是在用户身份证书和
应用属性证书有效结合的基础上来实现证书跨业务应用的
兰.。一证通”的实现原理
— 证通 由 “实体证书 (身份证) 和 应用属性证书 (护
照,通行证⋯⋯) 组成。 宴体证书”由CA中心签发和管理,
它包含了证
书所有者的
基本信息,会
发到用户手
中。“应用属
性证书 由应
用所有者通
过ARA进行
签发和管理
(图2)。
四.“一证通 的应用实现
‘
一 证通 是通过信任平台 (PK[/CA系统1和各个行业
的属性服务系统来统一规戈 部署的它井不投仅局限于一个CA
中使用,同样
可以实现跨
行业和踌区
域的应用(圈
3)。
由于 行
业和区域的
划分,将造成
各信息区域
的独立存在,
从而造成信
息孤岛 而证书的互联互通可使这一切就像互联网一样被联结
起来。它—般是通过几种方式来实现的,包括桥式证书认证中
心 (CA).树状认证 (统一根CA) 网状认证 【交叉认证)和
信任列表。
五 应用前景
使用“一证通 后,可以解决数字证书的通用性问题.并
实现跨行业和跨区域的安全应用。它的整体结构清晰,简洁,
降低了应用和证书实体的耦台度.平滑地实现跨业务域的信任
体系,把信任体系扩展到不同行业和区域之间。
一 证通 虽然起步较晚.但未来发展态努很好 如果能
运用好 跟踪、迎头赶 战略,制订一套既先进叉符台我国基
本国情的发展政策,它将成为电子政务领域的主流认证方式。
加大宜传力度,变革传统的电子政务观念、我们就能够逐渐缩
小与先进国家的差距。
一 证通 是未来政务发展的必{}};趋势,是政务镀域的深
层次变革。它可先在一些适合于电子政务发展的领域和部门积
极推行,如工商,税务和技监等部门 并促其良性循环。“一
证通 的发展符合 《电子签名法∞的推广,同时要保证其规范
化操作,还得与国际通用标准接轨。
小结
总之,“一证通 的跨行业应用能很好地解决数字证书的通
用拦E问题,是今后电子政务发展的—/r 然趋势。当然,在应
用时还有很多问题需要解决,这都需要在实际过程中去实现
了。相信在不久的将来. 一证通 将在我国电子政务领域中
发挥巨大的作用。●圜
2005年7月号81
一电子政务与商务一 商务安全.政务方案 I栏目邮箱2 ∞§@2g 9 -贾任簟辑 白玉堂
维普资讯
